Varnostna navidezna slika

Da bi dosegli poenostavitev in doslednost, je bila rešitev Cisco SD-WAN preimenovana v Cisco Catalyst SD-WAN. Poleg tega so od Cisco IOS XE SD-WAN Release 17.12.1a in Cisco Catalyst SD-WAN Release 20.12.1 uporabne naslednje spremembe komponent: Cisco vManage v Cisco Catalyst SD-WAN Manager, Cisco vAnalytics v Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator in Cisco vSmart to Cisco Catalyst SD-WAN Controller. Oglejte si najnovejše opombe ob izdaji za izčrpen seznam vseh sprememb blagovne znamke komponent. Medtem ko prehajamo na nova imena, so lahko v kompletu dokumentacije prisotne nekatere nedoslednosti zaradi postopnega pristopa k posodobitvam uporabniškega vmesnika izdelka programske opreme.

Cisco SD-WAN Manager uporablja varnostno navidezno sliko za omogočanje varnostnih funkcij, kot so sistem za preprečevanje vdorov (IPS), sistem za zaznavanje vdorov (IDS), URL Filtriranje (URL-F) in napredna zaščita pred zlonamerno programsko opremo (AMP) na napravah Cisco IOS XE Catalyst SD-WAN. Te funkcije omogočajo gostovanje aplikacij, analizo prometa v realnem času in beleženje paketov v omrežjih IP. Enkrat slika file je naložen v Cisco SD-WAN Manager Software Repository, lahko ustvarite pravilnik, profilein predloge naprav, ki bodo samodejno potisnile pravilnike in posodobitve na prave naprave.
Pred uporabo teh funkcij morate najprej namestiti in konfigurirati IPS/IDS, URL-F oz AMP varnostne politike in nato naložite ustrezno varnostno virtualno sliko v Cisco SD-WAN Manager. Po nadgradnji programske opreme na napravi morate nadgraditi tudi varnostno navidezno sliko.
V tem poglavju je opisano, kako izvajati te naloge.

• Namestite in konfigurirajte IPS/IDS, URL-F oz AMP Varnostne politike, na strani 1
• Prepoznajte priporočeno varnostno različico virtualne slike na strani 4
• Naložite Cisco Security Virtual Image v Cisco SD-WAN Manager, na strani 4
• Nadgradnja varnostne virtualne slike, na strani 5

Namestite in konfigurirajte IPS/IDS, URL-F oz AMP Varnostne politike

Namestitev in konfiguracija IPS/IDS, URL-F oz AMP varnostne politike zahtevajo naslednji potek dela:
Naloga 1: Ustvarite predlogo varnostne politike za IPS/IDS, URL-F oz AMP Filtriranje
2. naloga: Ustvarite predlogo funkcij za varnostno gostovanje aplikacij
Naloga 3: Ustvarite predlogo naprave

Naloga 4: Priložite naprave na predlogo naprave
Ustvarite predlogo varnostne politike

1. V meniju Cisco SD-WAN Manager izberite Configuration > Security.
2. Kliknite Dodaj varnostno politiko.
3. V oknu Dodaj varnostno politiko s seznama možnosti izberite svoj varnostni scenarij.
4. Kliknite Naprej.

Ustvarite predlogo funkcij za varnostno gostovanje aplikacij
Funkcija profile predloga konfigurira dve funkciji:

• NAT: omogoči ali onemogoči prevajanje omrežnih naslovov (NAT), ki ščiti notranje naslove IP, ko so zunaj požarnega zidu.
• Resource Profile: dodeli privzete ali visoke vire različnim podomrežjem ali napravam.

Profesionalec funkcijfile predloga, čeprav ni nujno potrebna, je priporočljiva.

Če želite ustvariti funkcijo profile predlogo, sledite tem korakom:

1. V meniju Cisco SD-WAN Manager izberite Configuration > Templates.
2. Kliknite Predloge funkcij in nato kliknite Dodaj predlogo.
   V Cisco vManage Release 20.7.1 in prejšnjih izdajah se predloge funkcij imenujejo Feature.
3. Na seznamu Izberi naprave izberite naprave, ki jih želite povezati s predlogo.
4. V razdelku Osnovne informacije kliknite Varnostno gostovanje aplikacij.
5. Vnesite ime in opis predloge.
6. Pod Parametri varnostne politike po potrebi prilagodite parametre varnostne politike.
   • Omogočite ali onemogočite funkcijo prevajanja omrežnih naslovov (NAT), glede na vaš primer uporabe. NAT je privzeto vklopljen.
   • Kliknite spustno puščico, da nastavite meje za pravilnik. Privzeta vrednost je Privzeto.
   Globalno: omogoči NAT za vse naprave, povezane s predlogo.
   Specifično za napravo: omogoči NAT samo za določene naprave. Če izberete Device Specific, vnesite ime ključa naprave.
   Privzeto: omogoči privzeti pravilnik NAT za naprave, povezane s predlogo.
   • Nastavite Resource Profile. Ta možnost nastavi število primerkov snort, ki se uporabljajo na usmerjevalniku. Privzeta vrednost je nizka, kar označuje en primer smrčanja. Srednje označuje dva primera, visoko pa tri primere.
   • Kliknite spustno puščico, da nastavite meje za vir profile. Privzeta vrednost je Global.
   Globalno: omogoči izbrani vir profile za vse naprave, priložene predlogi.
   Specifično za napravo: omogoči profile samo za določene naprave. Če izberete Device Specific, vnesite ime ključa naprave.
   Privzeto: omogoči privzeti vir profile za naprave, pritrjene na predlogo.
7. Nastavite prenos URL Zbirka podatkov v napravi na Da, če želite prenesti URL-F baza podatkov v napravi. V tem primeru naprava poišče v lokalni bazi podatkov, preden poskusi z iskanjem v oblaku.
8. Kliknite Shrani.

Ustvarite predlogo naprave
Če želite aktivirati pravilnike, ki jih želite uporabiti, lahko ustvarite predlogo naprave, ki bo pravilnike potisnila v naprave, ki jih potrebujejo. Razpoložljive možnosti se razlikujejo glede na vrsto naprave. Na primerampNaprave Cisco SD-WAN Manager zahtevajo bolj omejeno podmnožico predloge večje naprave. Videli boste samo veljavne možnosti za ta model naprave.
Če želite ustvariti predlogo varnostne naprave, sledite temu primeruampdatoteka za model usmerjevalnikov vEdge 2000:

1. V meniju Cisco SD-WAN Manager izberite Configuration > Templates.
2. Kliknite Predloge naprav in nato izberite Ustvari predlogo > Iz predloge funkcij.
   V Cisco vManage Release 20.7.1 in prejšnjih izdajah se predloge naprav imenujejo Device.
3. Na spustnem seznamu Model naprave izberite model naprave.
4. Na spustnem seznamu Vloga naprave izberite vlogo naprave.
5. Vnesite ime in opis predloge.
6. Pomaknite se navzdol po strani do konfiguracijskih podmenijev, ki vam omogočajo, da izberete obstoječo predlogo, ustvarite novo predlogo ali view obstoječo predlogo. Na primerample, če želite ustvariti novo sistemsko predlogo, kliknite Ustvari predlogo.

Priložite naprave na predlogo naprave

1. V meniju Cisco SD-WAN Manager izberite Configuration > Templates.
2. Kliknite Predloge naprav in nato izberite Ustvari predlogo > Iz predloge funkcij.
   V Cisco vManage Release 20.7.1 in prejšnjih izdajah se predloge naprav imenujejo Device.
3. V vrstici želene predloge naprave kliknite … in izberite Priključi naprave.
4. V oknu Attach Devices izberite želene naprave s seznama Available Devices in kliknite puščico, ki kaže desno, da jih premaknete na seznam Selected Devices.
5. Kliknite Priloži.

Določite priporočeno varnostno različico virtualne slike

Včasih boste morda želeli preveriti priporočeno številko izdaje varnostne navidezne slike (SVI) za določeno napravo. Če želite to preveriti s programom Cisco SD-WAN Manager:
1. korak
V meniju Cisco SD-WAN Manager izberite Monitor > Devices.
Cisco vManage Release 20.6.x in starejše: V meniju Cisco SD-WAN Manager izberite Monitor > Network.
2. korak
Izberite WAN – Edge.
3. korak
Izberite napravo, ki bo izvajala SVI.
Prikaže se stran s statusom sistema.
4. korak
Pomaknite se do konca menija naprave in kliknite Real Time.
Prikaže se stran s sistemskimi informacijami.
5. korak
Kliknite polje Možnosti naprave in v meniju izberite Stanje različice varnostne aplikacije.
6. korak
Ime slike je prikazano v stolpcu Priporočena različica. Moral bi se ujemati z razpoložljivim SVI za vaš usmerjevalnik iz Ciscovih prenosov webmesto.

Naložite Cisco Security Virtual Image v Cisco SD-WAN Manager

Vsaka slika usmerjevalnika podpira določen obseg različic za gostujočo aplikacijo. Za IPS/IDS in URL- S filtriranjem lahko najdete obseg podprtih različic (in priporočeno različico) za napravo na njeni strani z možnostmi naprave.
Ko je varnostni pravilnik odstranjen iz naprav Cisco IOS XE Catalyst SD-WAN, se iz naprav odstrani tudi mehanizem Virtual Image ali Snort.

1. korak Na strani za prenos programske opreme za vaš usmerjevalnik poiščite sliko UTD Engine za IOS XE SD-WAN.
2. korak Kliknite prenos, da prenesete sliko file.
3. korak V meniju Cisco SD-WAN Manager izberite Vzdrževanje > Repozitorij programske opreme
4. korak Izberite Virtual Images.
5. korak Kliknite Naloži navidezno sliko in izberite vManage ali Oddaljeni strežnik – vManage. Odpre se okno Upload Virtual Image to vManage.
6. korak Povlecite in spustite ali poiščite sliko file.
7. korak Kliknite Naloži. Ko je prenos končan, se prikaže potrditveno sporočilo. Nova navidezna slika se prikaže v repozitoriju programske opreme za navidezne slike.

Nadgradite varnostno virtualno sliko

Ko je naprava Cisco IOS XE Catalyst SD-WAN nadgrajena na novo sliko programske opreme, je treba nadgraditi tudi varnostno navidezno sliko, da se ujemata. Če se slike programske opreme ne ujemajo, pošiljanje predloge VPN v napravo ne bo uspelo.
Če je omogočena možnost Posodobitev podpisa IPS, se ujemajoči paket podpisa IPS samodejno posodobi kot del nadgradnje. Nastavitev lahko omogočite v Skrbništvo > Nastavitve > Posodobitev podpisa IPS.
Če želite nadgraditi aplikacijo, ki gosti virtualno sliko za napravo, sledite tem korakom:

1. korak Sledite korakom v Naložite pravilno navidezno varnostno sliko Cisco v vManage, da prenesete priporočeno različico SVI za vaš usmerjevalnik. Upoštevajte ime različice.
2. korak V meniju Cisco SD-WAN Manager izberite Vzdrževanje > Repozitorij programske opreme > Navidezne slike, da preverite, ali se različica slike, navedena v stolpcu Priporočena različica, ujema z navidezno sliko, navedeno v tabeli Navidezne slike.
3. korak V meniju Cisco SD-WAN Manager izberite Vzdrževanje > Nadgradnja programske opreme. Prikaže se stran za nadgradnjo programske opreme WAN Edge.
4. korak Izberite naprave, ki jih želite nadgraditi, in potrdite potrditvena polja v skrajnem levem stolpcu. Ko izberete eno ali več naprav, se prikaže vrsta možnosti in število vrstic, ki ste jih izbrali.
5. korak Ko ste zadovoljni s svojimi izbirami, v meniju z možnostmi izberite Nadgradi navidezno sliko. Prikaže se pogovorno okno Nadgradnja navidezne slike.
6. korak Za vsako napravo, ki ste jo izbrali, v spustnem meniju Nadgradnja na različico izberite pravilno različico nadgradnje.
7. korak Ko izberete različico nadgradnje za vsako napravo, kliknite Nadgradi. Ko je posodobitev končana, se prikaže potrditveno sporočilo.

Dokumenti / Viri

Varnostna konfiguracija CISCO SD-WAN Catalyst [pdf] Uporabniški priročnik SD-WAN, varnostna konfiguracija katalizatorja SD-WAN, varnostna konfiguracija katalizatorja, varnostna konfiguracija, konfiguracija

Reference

• Uporabniški priročnik